Share via

管理グループ内のすべてのサブスクリプションでDefenderforCloudを有効にする

  • [アーティクル]

Azure Policy を使用すると、同じ管理グループ (MG) 内のすべての Azure サブスクリプションで Azure Security Center を有効にすることができます。 これは、ポータルから個別にアクセスするよりも便利であり、サブスクリプションが異なる所有者に属している場合でも機能します。

前提条件

次の Azure CLI コマンドを使用して、管理グループのリソース プロバイダー _Microsoft.Security_ を有効にします。

az provider register --namespace Microsoft.Security --management-group-id …

管理グループとそのすべてのサブスクリプションをオンボードする

管理グループとそのすべてのサブスクリプションをオンボードするには:

  1. セキュリティ管理者のアクセス許可を持つユーザーとして Azure Policy を開き、 Enable Microsoft Defender for Cloud on your subscription 定義を検索します。

    Screenshot showing the Azure Policy definition Enable Defender for Cloud on your subscription.

  2. [割り当て] を選択し、スコープが MG レベルに設定されていることを確認します。

    Screenshot showing how to assign the definition Enable Defender for Cloud on your subscription.

    ヒント

    スコープ以外に必要なパラメーターはありません。

  3. [修復][修復タスクの作成] の順に選択して、Defender for Cloud が有効になっていない既存のサブスクリプションがすべてオンボードされるようにします。

    Screenshot that shows how to create a remediation task for the Azure Policy definition Enable Defender for Cloud on your subscription.

  4. [Review + create](レビュー + 作成) を選択します。

  5. 情報を確認し、[作成] を選択します。

定義が割り当てられると、次が行われます。

  • Security Center にまだ登録されていない、MG 内のすべてのサブスクリプションが検出されます。
  • それらのサブスクリプションが "非準拠" としてマークされます。
  • すべての登録済みサブスクリプションを "準拠" としてマークします (Defender for Cloud の強化されたセキュリティ機能のオンとオフに関係なく)。

修復タスクにより、非準拠のサブスクリプションで Defender for Cloud の基本機能が有効になります。

省略可能な変更

Azure Policy の定義を変更するために、さまざまな方法を選択できます。

  • コンプライアンスをさまざまな方法で定義する - 提供されるポリシーでは、Security Center にまだ登録されていない、MG 内のすべてのサブスクリプションが "非準拠" として分類されます。 Defender for Cloud の強化されたセキュリティ機能が有効になっていないすべてのサブスクリプションに設定できます。

    提供されている定義では、以下の "価格" 設定の "いずれか" が準拠として定義されます。 これは、"standard" または "free" に設定されているサブスクリプションが準拠していることを意味します。

    ヒント

    Azure Defender プランが有効な場合は、"Standard" 設定としてポリシー定義に記述されます。 無効な場合は、"Free" になります。 これらのプランの違いについては、Microsoft Defender for Cloud の Defender プランに関する記事を参照してください。

    "existenceCondition": {
    "anyof": [
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "standard"
        },
        {
            "field": "microsoft.security/pricings/pricingTier",
            "equals": "free"
        }
    ]
},

    これを次のように変更すると、"standard" に設定されたサブスクリプションのみが準拠として分類されます。

    "existenceCondition": {
      {
        "field": "microsoft.security/pricings/pricingTier",
        "equals": "standard"
      },
},

  • Defender for Cloud を有効にするときに適用する Microsoft Defender プランの一部を定義する - 指定されたポリシーを使用すると、オプションの強化されたセキュリティ機能を使用せずに Defender for Cloud を有効にできます。 1 つ以上の Microsoft Defender プランを有効にできます。

    提供されている定義の deployment セクションには、pricingTier パラメーターがあります。 これは既定で free に設定されていますが、変更できます。

次のステップ

管理グループ全体をオンボードしたので、強化されたセキュリティ機能を有効にします。

保護の強化を有効にする